Audito plano rengimas

Nusprendus tęsti auditą, rengiamas audito planas, kuriame numatomi audito klausimai ir kriterijai, su jais susijusios audito procedūros, leidžiančios surinkti tinkamus ir pakankamus audito įrodymus audito tikslui pasiekti ir kt.

Audito planas rengiamas siekiant suplanuoti reikiamus darbus, jų atlikimo terminus, audito kokybės užtikrinimo procedūras, išteklius ir kt. audito tikslui pasiekti. Auditas yra projektas, todėl jam taikomi projektų valdymo principai. Į tai reikia atsižvelgti tiek planuojant audito darbus, tiek juos vykdant, tiek įgyvendinant reikiamus pokyčius projekto įgyvendinimo eigoje.

Audito plano parengimas – paskutinis audito planavimo proceso etapas. Audito grupės atsakomybė rengiant audito planą išsamiau aprašyta Valstybinių auditų kokybės užtikrinimo vadove.

Išankstinio tyrimo metu iki audito plano patvirtinimo su audituojamu subjektu turi būti aptariamos (susitikimuose ir (ar) susirašinėjant su juo) išankstinio tyrimo problemos (rizikos), planuojami audito klausimai, kriterijai, audito apimtis, metodai ir kt. Taip auditoriui bus lengviau nustatyti sritis, kuriose gali kilti nesutarimų, ir suplanuoti, kaip pagrindinio tyrimo metu surinkti papildomų įrodymų. Nesutarimas tarp audituojamo subjekto ir audito grupės dėl kriterijų ar kitų audito plano elementų pasirinkimo nėra pagrindas auditoriams atsisakyti savo pozicijos jų atžvilgiu. Esant nesutarimų, auditoriai turėtų šį faktą ir argumentus pateikti darbo dokumente, o audito procese jų pagrindimui skirti daugiau dėmesio. Ginčo atveju rekomenduojama gauti eksperto nuomonę. Galutinį sprendimą priima auditorius, todėl svarbu, kad jis liktų nepriklausomas šio proceso metu.

Audito planą sudaro šios dalys:

• Santrumpos ir sąvokos. Pateikiamos audito plane vartojamos santrumpos ir sąvokų paaiškinimai (išnašose nurodomi sąvokų paaiškinimo šaltiniai).
• Pasirinktos audituoti rizikos. Šioje dalyje įvardijamos pasirinktos audituoti IT kontrolės rizikos, o jų aprašymas pateikiamas išankstinio tyrimo rezultatų apibendrinime, kuris yra laikomas audito plano priedu. Rizikos priskiriamos tam tikroms IT sritims ar IT procesams ir nurodoma, kokiais aspektais bus vertinama rizika.
• Pagrindinė informacija apie auditą:
  • audito ID, audito objektas, tikslas, audituojamas laikotarpis;
  • audituojamas (-i) subjektas (-ai). Jeigu buvo atlikta audituojamų subjektų atranka pagrindinio tyrimo procedūroms atlikti, šioje dalyje taip pat pateikiama nuoroda į atrankos darbo dokumentą;
  • apribojimai, jeigu yra. Šioje dalyje pateikiami audito objektui, tikslui, apimčiai, metodams ar duomenims taikomi kokie nors apribojimai. Jų gali atsirasti dėl auditoriaus pagrįsto sprendimo nevertinti tam tikrų dalykų, susijusių su audito objektu ir (ar) tikslu, arba dėl audituojamo (-ų) subjekto (-ų) veiksmų ar veiklos, kai nėra galimybės atlikti tam tikrų procedūrų ar gauti tam tikrų duomenų;
  • apibendrintas įgimtos, IT kontrolės rizikos vertinimo rezultatas, t. y. nurodoma, ar įgimta rizika laikoma padidinta ar normali, ar IT kontrolės rizika didelė ar vidutinė ar maža;
  • nustatytas kiekybinis ir (ar) kokybinis reikšmingumas, t. y. koks reikšmingumas buvo taikomas ir pasirinkti atitinkamo reikšmingumo parametrai, sąlygos ir pan.;
  • audito valdymo rizika ir jos valdymo priemonės. Kylančios rizikos ir jų valdymo priemonės aptariamos audito grupėje ir dokumentuojamos audito projekte ViPSIS, o audito plane nurodomos pagal poreikį, pavyzdžiui, jei dėl nustatytos rizikos reikšmingumo auditorius suplanuoja atitinkamas procedūras audito plane;
  • pasitelkiami Valstybės kontrolės darbuotojai, turintys specialiųjų žinių, ir (ar) išorės specialistai (ekspertai) ir (ar) išorės auditoriai. Išsamiau Audito grupės įgūdžiai skiltyje;
  • vidinę peržiūrą atliekantys asmenys ir peržiūros terminai ar periodiškumas.
• Audito klausimai, kriterijai, procedūros, informacijos šaltiniai, metodai, atsakingi asmenys ir terminai. Nurodomi:
  • audito klausimai, į kuriuos reikia atsakyti, norint pasiekti audito tikslą;
  • audito kriterijai ir jų šaltiniai. Jei tam tikri kriterijai neturi formalių šaltinių, audito plane turi būti nurodoma „Audituojamas subjektas pritaria“ ir pateikiama nuoroda į dokumentą, kuriame pateikiami kriterijų aptarimo su audituojamu subjektu rezultatai. Jeigu audituojamas subjektas nepritarė kriterijams, plane nurodoma „Audito subjektas nepritaria“ ir pateikiama nuoroda į dokumentą, kuriame pateikiama auditoriaus papildoma argumentacija, kodėl nusprendžiama kriterijaus nekeisti. Kiekvienas audito kriterijus ir su juo susijusi informacija pateikiama atskiroje eilutėje;
  • informacijos šaltiniai, procedūros ir metodai. Šioje dalyje kiekvienam audito kriterijui reikia aiškiai nurodyti planuojamas atlikti audito procedūras (veiksmus), o prie kiekvienos iš jų – iš kokių šaltinių, kokiuose audituojamuose subjektuose, kokio laikotarpio ir kokie duomenys bus renkami, kokiais metodais bus renkama ir vertinama informacija. Audito grupės vadovas turėtų nuspręsti, kuris audito įrodymų gavimo metodas ar jų derinys bus tinkamas, patikimas ir įrodymų gavimo sąnaudos neviršys jų teikiamos naudos. Kiekviena audito procedūra ir su ja susijusi informacija pateikiama atskiroje eilutėje. Jeigu ta pati procedūra taikoma keliems kriterijams, ji aprašoma prie vieno kriterijaus, o prie kitų teikiama nuoroda į procedūrą. Jeigu procedūros yra labai smulkios ir (ar) jų atlikimo laikas yra trumpas (pvz., kelios dienos), galima procedūrų nenurodyti atskirose eilutėse.Jeigu išankstinio tyrimo metu buvo surinkta dalis arba visa reikiama informacija pagal audito plane numatomą audito kriterijų, plane nereikėtų planuoti jau atliktų procedūrų. Kai surinkta visa reikiama informacija, prie audito kriterijaus reikia nurodyti, kad papildomos audito procedūros nebus atliekamos ir pateikti nuorodą į darbo dokumentą (-us), kuriame informacija dokumentuota. Surinkus dalį reikiamos informacijos nurodoma, kokia buvo surinkta ir suplanuojamos papildomos procedūros trūkstamiems įrodymams surinkti;
  • informacija apie atranką. Nurodoma tiriamoji visuma ir jos dydis, kokią dalį tiriamosios visumos planuojama audituoti (ar bus vertinami visi vienetai, ar atlikta jų atranka). Taikant atranką nurodomas jos būdas ir metodas, planuojamas imties dydis ir kas laikoma imties vienetu, pateikiama nuoroda į darbo dokumentą (-us), kur dokumentuota atranka. Informacijos pateikimo pavyzdys: audito tiriamąją visumą sudaro 1 000 incidentų. Imties dydis – 40 incidentų. Bus taikoma sisteminė atsitiktinė atranka, nuoroda į atrankos darbo dokumentą. Informacija apie atranką pateikiama prie pirmojo audito kriterijaus, kuriam atsakyti bus naudojami atrinktos imties duomenys, prie kitų audito kriterijų, kuriems taikoma ta pati tiriamoji visuma ir imtis, informacijos apie atranką kartoti nereikia – nurodoma, kad atrankos informacija pateikta prie X kriterijaus. Jeigu auditorius neturi galimybės atlikti atrankos planavimo etape (pvz., laukiama, kol audituojamas subjektas surinks naujausius duomenis, į audito planą įtraukiami nauji audituojami subjektai ir duomenų bus prašoma pagrindinio tyrimo metu ir pan.), audito plane pateikiamos priežastys, kodėl atrankos atlikti negalima, ir nurodoma, kad ji bus atliekama pagrindinio tyrimo etape. Šiuo atveju audito plane turi būti įvardijama, ką laikysime tiriamąja visuma;
  • kiekvienos audito procedūros (užduoties) atlikimo pradžios ir pabaigos terminai, pateikimo vidinei peržiūrai terminas, planuojamas darbo dienų skaičius ir asmenys, atsakingi už konkrečių procedūrų (užduočių) atlikimą. Jeigu vidinę peržiūrą atlieka ne tik audito grupės vadovas, bet ir srities vadovas (-ai), vidinę peržiūrą atliekantis asmuo nurodomas prie atitinkamos procedūros. Audito procedūrų atlikimo laikas planuojamas nustatant laiką konkretiems darbams atlikti. Apskaičiuojant reikalingą laiką (pvz.: klausimynų sudarymui, susitikimams, pokalbiams ir pan.), rekomenduojama naudotis ankstesnių auditų patirtimi, atsižvelgti ir į laiką, reikalingą komandiruotėms. Procedūrų (užduočių) terminai turi būti kiek įmanoma realesni, nustatyti atsižvelgiant į kitas užduotis, mokymus (jei žinomos datos planavimo metu), atostogas ir pan. Kai kurie darbai tikriausiai remsis kitų darbų rezultatais, todėl jie turi būti atliekami numatyta seka. Reikia numatyti laiką įvairiems aptarimams su audituojamu subjektu, laiką audito kokybės procedūroms užtikrinti.
• Planuojami ištekliai. Pateikiama apibendrinta informacija apie audito grupės narių planuojamą darbo dienų skaičių, informacija apie visas kitas su auditu susijusias papildomas išlaidas: planuojamas komandiruočių, ekspertų pasitelkimo, papildomų paslaugų (pvz., apklausų) įsigijimo ir kitas išlaidas. Reikia įvertinti, kokie ištekliai (žmogiškieji, finansiniai, materialiniai, laiko ir kt.) bus reikalingi auditui atlikti.
• Pagrindiniai audito terminai. Rengiant audito planą, šioje dalyje nurodomi pagrindinio tyrimo audito procedūrų atlikimo pradžios ir audito rezultatų suvestinės patvirtinimo datos, audito ataskaitos projekto pateikimo audituojamam (-iems) subjektui (-ams) data, audito pabaigos data. Pagal poreikį gali būti nurodyti kiti darbai ir suplanuoti jiems terminai.
• Laukiamas audito poveikis. Pateikiamas trumpas aprašymas, kokią tikėtiną naudą audito rezultatai duos tobulinant nagrinėjamą sritį. Aprašytas audito poveikis toliau turi būti detalizuojamas, pateikiant:
  • pokyčių tipą: nurodoma, kokio pokyčio pobūdžio tikimasi;
  • pokyčių vertinimo kiekybinius arba kokybinius rodiklius: pateikiamas jų sąrašas ir, jei yra galimybė, pradinės reikšmės. Šiame etape turėtų būti nustatytas bent vienas pokytį apibūdinantis kiekybinis rodiklis;
  • pokyčių aprašymą: trumpai aprašomas planuojamas (-i) pokytis (-iai).

Išsamiau apie audito poveikio vertinimą pateikiama Valstybinio audito poveikio vertinimo metodikoje.

Viso audito metu gavus naujos svarbios informacijos (ar dėl kitų priežasčių), audito planas turi būti patikslintas (pvz.: patikslinti audito klausimai, kriterijai, procedūros, terminai, audito grupės nariai ir kt.).

Jeigu audito plane atliekami reikšmingi pakeitimai (pvz.: keičiamas audito tikslas, audito klausimai, kriterijai arba įtraukiami nauji arba išbraukiami audito klausimai, kriterijai, įtraukiami nauji audituojami subjektai, pasikeitė audito grupės nariai, keičiasi audito pabaigos laikas ir kt.), turi būti nurodomos priežastys.

Atkreiptinas dėmesys, kad reikšmingus audito plano pakeitimus rekomenduojama suderinti su valstybės kontrolieriaus pavaduotoju, kuriam tiesiogiai pavaldus auditą atliekantis departamentas. Dėl nukreipimo valstybės kontrolieriaus pavaduotojui sprendimą priima audito departamento vadovas.

Apie reikšmingus audito plano pakeitimus oficialiu raštu ar el. paštu turi būti informuojamas (-i) audituojamas (-i) subjektas (-ai). Reikšmingi audito plano pakeitimai (pvz., susiję su audito tikslu, klausimais, kriterijais ir pan.) turi būti aptarti su audituojamu (-ais) subjektu (-ais) ne vėliau kaip iki jam pateikiant audito ataskaitos projektą.